[o1] tinko am 23.09. 12:34
+1
-
@tinko: Soviel ich weiß schon, nur die Standard GPL war IMO so strikt dass ALLES offen sein muss (und somit meinermeinung nach ein Klotz am Bein vieler Softwareentwickler ist.
@Ludacris: War sie, bzw ist sie noch - und v3 überbietet alles vorher (bei GPL) Dagewesene.
Wenn sie's unter GPL stellen wollen, bitte - kann jeder für sich entscheiden - aber dann muß man halt auch mit den Nachteilen leben. Nur weil ich GnuPG verwende, werd' ich deswegen nicht meine privaten Schlüssel veröffentlichen ;)
Wenn sie's unter GPL stellen wollen, bitte - kann jeder für sich entscheiden - aber dann muß man halt auch mit den Nachteilen leben. Nur weil ich GnuPG verwende, werd' ich deswegen nicht meine privaten Schlüssel veröffentlichen ;)
[re:2] root_tux_linux am 23.09. 18:02
Das Problem ließe sich ganz einfach lösen: Das Feature für das ach so sichere Booten einfach deaktivierbar machen. Wer sich mit Linux beschäftigt wird das dann sicher wissen und umsetzen können.
[re:1] therealgoblin am 23.09. 12:53
[re:1] Lastwebpage am 23.09. 13:11
[re:2] OttONormalUser am 23.09. 12:54
@Memfis: Dann ergibt sich aber ein anderes Problem, die Hardwarehersteller bekommen nämlich nur einen Win8 zertifiziert Aufkleber, wenn Secureboot aktiviert ist, und Windows bootet auch nur dann, also kann man Dualboot mit Linux oder älteren Win-Versionen auch vergessen. Hier stehts noch mal ausführlicher (http://goo.gl/saml4) Ich werde wohl in Zukunft beim Laptop kauf gleich eins mit Linux kaufen, und auf Win8+ ganz verzichten, Desktops kann man sich ja Gott sei dank auch selbst zusammen basteln.
Wie im Text richtig steht: das ist ein UEFI-Feature und hat direkt nichts mit MS zu tun. Reiserische Überschrift fw.
[re:1] OttONormalUser am 23.09. 12:50
[re:2] DennisMoore am 23.09. 12:58
@Dreadlord: Ich frage mich eh wie man darauf kommen kann, dass ein Feature, welches sicheres Booten erlaubt sich gegen ein Betriebssystem richtet.
[re:1] DennisMoore am 23.09. 13:11
@tinko: Du kannst doch soviel Software "at home brewen" wie du lustig bist, solange du dich an die öffentlich zugänglichen APIs hälst. Das einzige Problem ist nur, dass man bei manchen AppStores Geld bezahlen muss wenn man was reinstellen will.
@tinko: Weil unsignierte ROMs nunmal dem Gerät gefährlich werden können, und dann solls die Firma auf einmal per garantie lösen. Hat alles seine Vor- und Nachteile.
[re:2] OttONormalUser am 23.09. 13:10
@DennisMoore: Naja, weil man auf einem Gerät, welches nur Windows signiert ist nix anderes mehr installieren kann, es sei denn das ganze lässt sich abschalten. Der Hersteller bestimmt also welche Betriebssysteme auf seiner Hardware laufen dürfen. Da wohl auf den meisten Windows landen wird, und man gerne den Zertifizierungs-Aufkleber haben will, bedeutet das für Linux-User, dass man sich kein Laptop von der Stange mehr kaufen kann, wo man Win runter schmeißt oder es im Dualboot nutzten kann.
[re:1] DennisMoore am 23.09. 13:12
@OttONormalUser: Im Text steht, dass auch Linuxdistributionen signiert werden können und dass man mittels Passwort auch unsignierte Systeme starten kann. So what? PS: Ich rechne auch stark damit, dass man die komplette Sicherheitsfunktion "Secure Boot" abschalten kann.
[re:1] OttONormalUser am 23.09. 13:15
@DennisMoore: Aber im abgeschalteten Zustand kann man keinen Dualboot mit Win8 betreiben, und umgekehrt. Ich möchte auch nicht jedes mal ein PW eingeben müssen, und ob man jede Feld Wald Wiesen Distri signiert bekommt, steht auch in den Sternen.
[re:2] DennisMoore am 23.09. 13:18
@OttONormalUser: Wenn du das alles nicht willst, dann schalte das Feature im UEFI-Setup ab und verzichte auf den sicheren Bootvorgang. bei TPM war das Geschrei auch vorher groß, und dann waren die Chips im BIOS doch abschaltbar. Wird hier genauso sein. Gehe ich fest von aus.
[re:4] OttONormalUser am 23.09. 13:24
@DennisMoore: Meines Wissens nach wird Win8 nicht mehr booten im abgeschalteten Zustand, wir sollten also abwarten bis es so weit ist.
[re:5] DennisMoore am 23.09. 13:32
@OttONormalUser: Finde ich auch. Besonders weil von "Wissen" zu sprechen bei Windows 8 noch reichlich früh ist. Das überlasse ich gern den Newsschreibern hier ;)
@DennisMoore: Leider ist das nicht so einfach. Wer Windows 8 verifiziert werden will, hat die Möglichkeit nur die MS Schlüssel zu verwenden. Auch haben Hersteller schon angegeben das sie die Security Boot Option nicht abschaltbar machen werden. Bzw. eine anderen Schlüssel außer die von MS implementieren werden.
[re:8] OttONormalUser am 24.09. 16:53
@ThreeM: Wenn ich ein Hersteller für Komplettsysteme wäre, würde ich das genauso machen, denn diese sind ja dazu gedacht mit vorinstalliertem Win8 und einer Recoverypartition vertrieben zu werden. Wozu also das ganze abschaltbar machen, oder andere Schlüssel integrieren? Das gewährleistet auch, dass sich der Kunde beim Betriebssystemwechsel auch einen neuen PC kaufen muss, was mir als Hersteller ja auch wieder in die Hände spielt. Das ganze erinnert mich an die Aussage: Es hat niemand die Absicht eine Mauer zu errichten.
@OttONormalUser: Dass die Hersteller keine Linuxschlüssel integrieren werden, muss sich noch zeigen. PS: Laptops kann man sich für Linux seit jeher nicht von der Stange kaufen, zumindest nicht ohne ewig lange Recherchen.
[re:1] OttONormalUser am 23.09. 13:22
@Kirill: Mein Netbook ist von der Stange, und Ubuntu läuft dort besser als Win7. Das Laptop meiner Tochter ist ebenfalls von der Stange mit Win7 und läuft im Dualboot out of the box. Und ja, es muss sich erst noch zeigen welche Systeme in fertig PCs mit aufgenommen werden.
@OttONormalUser: Richtig. Also braucht man nicht davon auszugehen, dass nur Windowsschlüssel übernommen werden, zumal es immer noch das Passwort, ergo wird Linux nie und nimmer ausgesperrt.
[re:3] OttONormalUser am 23.09. 16:55
@OttONormalUser: Also: Ja man kann das abschalten und man kann sowohl Windows 8 als auch andere Systeme mit abgeschaltetem Secure Boot aufsetzen. Allerdings, wenn du einen Fertig PC kaufst ist das eingeschaltet und wenn du es abschaltest lässt sich das mitgelieferte Windows nicht starten. Du müsstest es also abschalten und Windows und Linux neu installieren. Da kommt dann wieder das Problem das viele keinen Zugriff auf die original Installationsmedien haben. Ob sich ein Backup ziehen und nachdem abschalten von Secure Boot einspielen lässt muss erst mal getestet werden (Ich habe aktuell nicht die nötige UEFI Version dafür) Unterm Strich muss man also sagen, das Feature mag für manche Situationen sehr nützlich sein, bei Fertig PCs mit vorinstalliertem Windows 8 sehe ich Probleme für Otto normal User der mal Linux ausprobieren will.
Eine Testens werte Option wäre noch das Linux aus dem Windows Bootmanager zu starten (so wie es bei Windows7 mit EasyBCD machbar ist. Dann würde ja der Zertifizierte Windows Bootmanager starten und der dann ein Linux starten. Könnte allerdings sein das dann der Linux Kernel ein Problem hat. Möglicherweise muss der User vorher ein Passwort vergeben um Unzertifizierte Sachen zu Booten, das er dann eintippen muss (Diese Möglichkeit ist in den UEFI Spezifikationen enthalten und sollte sich nicht wegkonfigurieren lassen).
Eine Testens werte Option wäre noch das Linux aus dem Windows Bootmanager zu starten (so wie es bei Windows7 mit EasyBCD machbar ist. Dann würde ja der Zertifizierte Windows Bootmanager starten und der dann ein Linux starten. Könnte allerdings sein das dann der Linux Kernel ein Problem hat. Möglicherweise muss der User vorher ein Passwort vergeben um Unzertifizierte Sachen zu Booten, das er dann eintippen muss (Diese Möglichkeit ist in den UEFI Spezifikationen enthalten und sollte sich nicht wegkonfigurieren lassen).
[re:1] OttONormalUser am 23.09. 14:07
@OttONormalUser: Was ist so verwerflich daran wenn du Windows 8 nur auf bestimmten geräten Installieren kannst? Mac kannst du ja auch nur auf speziellen Geräten installieren (wird auch übers EFI überprüft)..
[re:1] OttONormalUser am 23.09. 14:13
@Ludacris: Ich finde es bei Mac genauso verwerflich, ich möchte auf meiner Hardware installieren dürfen, was Ich will. Bei Mac ist es aber doch etwas anderes, weil es Komplettsysteme aus einem Haus sind, ein ganz anderes Konzept also. MS lässt aber die Hardware produzieren, und zertifiziert sie nur. Siehe re:15, er hat es schön erklärt, es ist zwar nicht unlösbar, aber auch nicht wirklich schön.
@Dreadlord: Du hast natürlich Recht, nur schau Dir die Postings der Linux-Fraktion an, wo diese Paranoia natürlich gegen Windows gerichtet ist.
[re:4] noneofthem am 23.09. 15:06
@Dreadlord: Microsoft will durchbringen, dass dieses UEFI-Feature bei Windows 8-Fertig-PCs standardmäßig aktiviert wird, sodass kein anderes OS neben Windows 8 installiert werden kann. Machen die Hersteller dies nicht, so bekommen sie kein "begehrtes" "Certified for Windows 8"-Logo. Wenn das mal kein Eingriff von Microsoft ist!
@noneofthem: Wie auch im Artikel steht: Für die üblichen Linux-Distributionen ist es kein Problem, da die signiert sind. Könnte man das einfach abschalten und würde dann das bei aktiviertem Signaturcheck installierte Betriebssystem noch booten, wäre der Sicherheitsgewinn ja wieder dahin. Das soll ja garantieren, dass sich beim Booten kein Rootkit vor das System schiebt. Wenn man das einfach ausschalten kann, kann das ja nicht mehr garantiert werden. Wer Linux nutzen möchte, dürfte eh genug Know-How haben um bescheid zu wissen, dass er dann eben Windows bei deakiviertem Signatur-Feature auch mit ungeschütztem Bootloader neu installieren muss, und dann gibt es ja kein Problem mehr. Linux-User dürften nur in den seltensten Fällen Fertig-PC-Nutzer sein, die das vorinstallierte Windows ohne selber formatiert zu haben einsetzen.
[o4] DennisMoore am 23.09. 12:57
Wie kann denn die GPLv3 verlangen dass Signaturschlüssel offengelegt werden müssen? Dann macht die Signierung doch überhaupt keinen Sinnn mehr. Es soll ja etwas autorisiert werden durch eine Signatur, genauso wie durch eine Unterschrift. Wenn der Signaturschlüssel offen daliegt, kann somit jeder "unterschreiben" und die ganze Signiererei ist fürn Popo.
@DennisMoore: Wie man es verlangen kann? In dem es in der GPL3 Lizenz vermerkt ist! Das ist die Krux an der GPL und ähnlichen Lizenztypen. Andererseits muss man auch anmerken das eine offene Signatur auch positives bewirken kann(!) und nicht immer nur negativ sein muss.
[re:1] DennisMoore am 23.09. 13:09
[re:1] DennisMoore am 23.09. 13:14
@tinko: Das hat überhaupt nichts mit Security by Obscurity zu tun. Ist PGP auch "Obscure", weil jeder seinen privaten Schlüssel für sich behält? Nein. Denn anders als so macht Signieren schlicht keinen Sinn.
[re:1] DennisMoore am 23.09. 13:22
@tinko: Der geheime Schlüssel ist nicht Teil der Software, sondern der Hardware. Wenn der Schlüssel abhanden kommt, ist das natürlich der GAU. Das ist ja auch schon dem BluRay Kopierschutz zum Verhängnis geworden. Nichtsdestotrotz finde ich es besser so einen "Schlüsselschutz" zu haben als ihn nicht zu haben. Denn wenn die Keys ausnahmsweise mal nicht leaken sollten, hat man ein prima Sicherheitsfeature hinzugewonnen.
[re:3] DennisMoore am 23.09. 13:31
@tinko: Ja, diese Software sitzt aber in der Hardware. Und in diesem besonderen Fall sollte der Teil der Firmware wo der Schlüssel sitzt nicht Bestandteil von Downloads sein die Firmwareupdates enthalten. Das wär allerdings ärgerlich wenn wirklich mal ein Schlüssel leaken sollte. Dann kann man die ganze Sache in die Tonne kloppen.
@DennisMoore: Ein UEFI System kann auch ohne gestartetes OS auf das Netzwerk zugreifen und so beispielsweise neue Schlüssel holen und alte sperren.
Der Secure Boot ist ja nichts anderes als Signierter Code. Der Hersteller des Boards liefert einen Satz Schlüssel (Public Keys) mit und kann darüber feststellen ob der Code der da gerade gestartet werden soll auch unverändert ist. Gerade im Hinblick auf Root Kits finde ich dieses Feature an sich sehr gut. Das Problem ist nur das solche Keys Geld kosten. Microsoft oder Apple juckt das nicht. Eine kleine Linux Bude kann das schon jucken. Im Linux Fall kommt noch das Lizenzproblem hinzu, denn ein Hersteller der seinen Private Key veröffentlichen muss weil es in der GPL steht wäre natürlich verrückt, denn jeder könnte seinen Code damit Signieren und die ganzen Sicherheitsfeatures gingen nach hinten los. Ich denke das Problem mit der Lizenz wird irgendwie in den Griff zu bekommen sein. Die Verschiedenen größeren Linuxe wie Ubuntu, Suse oder Red Hat werden sich auch die Keys leisten können. Aber jeder der sich seinen Kernel selber kompiliert oder eine kleinere Distri einsetzt hätte das Problem das er immer ein Passwort für unsignierten Bootcode eingeben muss oder er muss Secure Boot komplett abschalten und dann ggf. Windows komplett neu aufsetzen. Unterm Strich betrachtet. Keine Probleme jat jemand der nur Linux oder nur Windows nutzt, bei Dualboot wird es komplizierter.
Der Secure Boot ist ja nichts anderes als Signierter Code. Der Hersteller des Boards liefert einen Satz Schlüssel (Public Keys) mit und kann darüber feststellen ob der Code der da gerade gestartet werden soll auch unverändert ist. Gerade im Hinblick auf Root Kits finde ich dieses Feature an sich sehr gut. Das Problem ist nur das solche Keys Geld kosten. Microsoft oder Apple juckt das nicht. Eine kleine Linux Bude kann das schon jucken. Im Linux Fall kommt noch das Lizenzproblem hinzu, denn ein Hersteller der seinen Private Key veröffentlichen muss weil es in der GPL steht wäre natürlich verrückt, denn jeder könnte seinen Code damit Signieren und die ganzen Sicherheitsfeatures gingen nach hinten los. Ich denke das Problem mit der Lizenz wird irgendwie in den Griff zu bekommen sein. Die Verschiedenen größeren Linuxe wie Ubuntu, Suse oder Red Hat werden sich auch die Keys leisten können. Aber jeder der sich seinen Kernel selber kompiliert oder eine kleinere Distri einsetzt hätte das Problem das er immer ein Passwort für unsignierten Bootcode eingeben muss oder er muss Secure Boot komplett abschalten und dann ggf. Windows komplett neu aufsetzen. Unterm Strich betrachtet. Keine Probleme jat jemand der nur Linux oder nur Windows nutzt, bei Dualboot wird es komplizierter.
[re:5] DennisMoore am 23.09. 14:10
@cathal: Ich denke es wird am Ende so kommen wie bei TPM. Man kann es komplett abschalten oder einschalten. Wenn man es abschaltet, kann man alles wie bisher installieren, wenn man es einschaltet unterliegt man den Beschränkungen. Und ich nehme an dass Windows 8 nciht zwingend ein UEFI Board voraussetzt und auch weiterhin mit BIOS läuft. Darum wird es auch nicht komplett den Dienst verweigern wenn man kein Secure Boot nutzt.
@DennisMoore: Windows 8 läuft (in der Intel Version) auch mit klassischem BIOS. Natürlich kannst du Secure Boot komplett abschalten und auch so Windows 8 nutzen. Das Echte Problem sind eher Fertig PCs die mit aktiviertem Secure Boot daher kommen und in der Regel keine Windows Installationsmedien mitliefern. Ich habe derzeit keine Passende UEFI Version hier um das zu testen, aber ich gehe davon aus, dass wenn du Secure Boot abschaltest und dann ein Windows Booten willst das mit Secure Boot aufgesetzt wurde, wird das nicht mehr starten und du müsstest es neu Installieren (Das muss ich aber erst noch Testen wenn ich passende Hardware habe, wobei das natürlich auch eine schöne Sache für Winfuture wär das mal zu testen).
[re:1] OttONormalUser am 23.09. 13:30
@DennisMoore: Ich vermute mal das damit gemeint war der Public Key muss bereit stehen und irgendwie ist es dann Falsch angekommen. Denn so wie das in diversen Artikeln erwähnt wird ist es in der Tat totaler Quark und würde die GPL3 schlicht nutzlos machen.
[re:1] DennisMoore am 23.09. 14:05
@cathal: Man könnte die GPLv3 dann einfach nicht mehr für Kernel und Bootloader verwenden wenn man Secure Boot ermöglichen wollte. Wenn der Signaturschlüssel mit dem der Bootloader signiert wurde offen verfügbar sein muss, dann hat man ja auch automatisch den Public Key im Besitz der auch in der Hardware stecken muss, damit die die Signatur überprüfen kann. Gut, der Kernel ist ja eh noch nicht unter v3 wenn ich mich recht erinnere. Und als Bootloader müsste man dann halt was anderes nehmen.
Ich sehe eigentlich auch kein so großes Problem, sondern eher Vorteile: die großen Distributionen erhalten eine Signatur, die auch mit den Rechnern ausgeliefert wird und die Binärfiles für den Boot können nur von den Herstellern gebaut werden. Wenn jemand an den für den Boot benötigten Dateien etwas ändern möchte, ist es ja kein Problem, jedoch ist er dann halt nicht mehr signiert (und muss dann das Feature abschalten oder eben Passwort eingeben).
Damit können Anwender von "orginal" Distributionen aber auch sicher sein, dass die eine unveränderte Version installiert haben, das ist ja auch ein echter Mehrwert.
Muss halt die Lizenz noch angepasst werden...
Damit können Anwender von "orginal" Distributionen aber auch sicher sein, dass die eine unveränderte Version installiert haben, das ist ja auch ein echter Mehrwert.
Muss halt die Lizenz noch angepasst werden...
Alle die Diskussionen hier egal ob Pro oder Kontra werden sich schon in wenigen Wochen in Luft auflösen. Genauso wie damals bei UEFI und BIOS Unterstützung bzw., Nutzung für W8. Es wird garantiert eine Möglichkeit geben, den Secure Boot zu umgehen bzw. ganz abzuschalten. Im Weiteren braucht es ja nur ein Schlüssel, den ja die grossen Open Source OS Hersteller bereitstellen werden, wie ja in der News zu lesen ist. Wie man ja jetzt schon weiss, oder an Informationen bekommt, wird hier etwas mit grosser Wahrscheinlichkeit unnötig hochgespielt, was sich wie schon oft bei solchen News in Luft auflösen wird und keiner der Streithälse hier, will dann zugeben, dass er seine Energie unnötig verschwendet hat und seine Befürchtungen nicht selten als Gebashe missbraucht worden sind.
[re:1] root_tux_linux am 23.09. 18:05
@Rumulus: Und alle die System-Verschlüsselung anbieten brauchen nen Schlüssel, alle die alternative Bootloader anbieten brauchen nen Schlüssel und alle..... oder man muss Secure Boot deaktivieren, falls möglich.
[re:1] OttONormalUser am 23.09. 18:15
[re:2] Feuerpferd am 23.09. 22:15
@Rumulus: Wie wir alle wissen, ist Microsoft Weltmarktführer für sichere Schlüssel, im Gedenken an den epischen *FCKGW*: http://goo.gl/AcmKV
wie wäre es denn, wenn man im UEFI ne Liste an Public Keys hat, bei denen man auch selbst (natürlich nur mit Passwort) weiter Public-Keys eintragen kann, so kann man nen eigenen Kernel selber signieren und hat hald nur den nachteil, dass man bei der Installation eines OS zuerst den Public-Key eintragen muss. #edit: hat auch den Vorteil, dass beim Leaken eines einzigen Private-Keys nicht automatisch der ganze Schutz fürn arsch is
Ich denke mal, dass es ne Version von GRUB geben wird, die das relativiert. dann installiert man erst Linux und denn win8
[11] root_tux_linux am 23.09. 18:04
Jaja, und wie ich schon wo anders Fragte/Sagte. Was machen die Leute die Windows mit z.B. Truecrypt verschlüsselt haben? Der Hardwarehersteller wird sicher keine Schlüssel für Truecrypt und Co hinterlegen und somit müsste man dieses "Sicherheitsfeature" schon wieder deaktivieren um sein stink normales Windows 8 zu booten.
Frage mich sowieso für was man dann noch Linux braucht, wenn man sowieso Windows 8 hat.
Dachte immer das die meisten Linux nutzen, weil sie für Windows nichts zahlen wollen.
Dachte immer das die meisten Linux nutzen, weil sie für Windows nichts zahlen wollen.
[re:1] root_tux_linux am 23.09. 19:51
[re:1] OttONormalUser am 23.09. 20:20
[13] Feuerpferd am 23.09. 21:48
Am Ende zeigt sich dann möglicherweise, dass es nur so ein Sicherheitszirkus wie beim TPM ist. Fakt ist, dass auch bei aktivem TPM Modul Linux oder besser einwandfrei booten kann, ich habe so ein Ding in einer Kiste laufen. Linux könnte das TPM Modul auch benutzen, dafür gibt es TrouSerS: http://trousers.sourceforge.net/ Aber dann würden dem Windows 7 fröhlich die BitLocker Schlüssel raus gekegelt. :-) Das alte Windows XP stört sich übrigens auch nicht weiter an aktivem TPM. Das würde sicherlich auch einen Aufstand sondergleichen geben, wenn etwa Windows XP nicht mehr laufen könnte, denn Windows 2000 und Windows XP ist immer noch in Behörden und Firmen verbreitet und wird dort aus den verschiedensten Gründen für unersetzlich gehalten.
[14] Der kleine Llort am 24.09. 00:19
Damit ich das richtig verstehe?! Ohne UEFI gibt es kein sicheres Booten? Das heist es kann bei einem normalen Bios auch ein anderer Bootloader wieder genutzt werden? Oder wie?
[16] root_tux_linux am 24.09. 15:32
Im Heise (Update) steht das einige Hardwarehersteller bestätigt haben das es keine Möglichkeit geben wird "Secure Boot" bei Windows "Zertifizierten" Geräten zu deaktivieren. Somit wäre Linux doch ausgesperrt! Jaja, alles für die Sicherheit blablabla... ACPI wurde damals auch Verbogen um heimlich die Konkurrenz auszuschalten (Siehe EPIC Bill Gates Mail) :-P
@root_tux_linux: tja dann werden die Geräte nicht gekauft, bzw. werden ihre Käufer wohl nur in echten "Fachmärkten", wie dem Media Markt finden :D ..... ich denke das wird für Microsoft voll nach hinten losgehen. Momentan kauft sich ein Linuxnutzer einfach ein Windowsrechner, schmeißt Windows runter und installiert Linux. In Zukunft kauft sich ein Linuxnutzer gleich ein Rechner ohne Windows oder mit bereits vorinstallierten Linux. Und wieder eine Lizenz weniger, die MS verkaut.